プライバシーマーク認証を取得すべき事業者の判断基準

多面的な切り口から事業への好循環を考えることです。

　情報セキュリティの第三者認証には用途別に様々なものがあります。ＩＴ製品自体のセキュリティ耐性を証明するもの、組織としての情報セキュリティマネジメント力を評価するもの、オフィスのセキュリティ度を評価するもの、その他人材の能力を評価するものなどです。その中で、プライバシーマーク認証制度は、組織としての個人情報の管理力を評価するものと言えます。そのプライバシーマークを取得すべきかどうかの判断基準を以下に簡単にまとめてみます。
①保有する個人情報の数が5000件を超える場合
　名刺一枚が一件、メールアドレス１つが一件、同じ人物でもデータ形態が違えば複数にカウントします。同じデータでも紙と電子データではそれぞれ別々にカウントします。
②金融・保険業、教育・学習支援業、医療・福祉業界
　個人情報事故が多く発生している業界がこの３つです。それだけ個人情報をたくさん保有しているということと、個人の信頼を勝ち得る必要がある事業分野であると言えます。
③個人情報を渡す取引先が複数ある場合
　業務委託、共同利用、第三者提供など個人情報の流れはいろいろありますが、少なくとも複数の取引先と個人情報をやりとりする場合は、その相手先の啓発も必要になります。
④機微な情報を取り扱う場合
　かなりセンシティブな個人情報を入手する事業者は慎重な取り扱いが求められます。プライバシーマークでは、機微情報に関して一般的には収集禁止としていますが、事業や業務内容によっては取得する必要があるものもあります。例えば、身体に関するデータ、金銭・財務情報、病歴・ＤＮＡ・遺伝子情報など、特に他人には知られたくない情報です。
⑤個人を顧客とする事業者
　B to C的な事業、一般消費者や特定個人を相手とする事業では一度信頼を崩すと、取り戻すことが容易ではありません。逆に信頼はブランドになるということで、事業への好循環としてプライバシーマークを十二分に活用して行きましょう。
⑥認証を取得すれば商機が増える事業者
　取引先から要求されているとか、事業継続能力が重要成功要因である場合は必須です。